Не прячьте ваши денежки
АрхивДва аспиранта Кембриджского университета, Ричард Клейтон и Майкл Бонд, нашли нетривиальный способ компрометации знаменитого криптопроцессора IBM 4758. Эта специализированная PCI-плата стоимостью около 4 тысяч долларов считается одним из самых надежных устройств защиты информации среди тех, что используются банками, финансовыми институтами и правительственными ведомствами.
Два аспиранта Кембриджского университета, Ричард Клейтон и Майкл Бонд (Richard Clayton, на фото слева, и Michael Bond, справа), нашли нетривиальный способ компрометации знаменитого криптопроцессора IBM 4758. Эта специализированная PCI-плата стоимостью около 4 тысяч долларов считается одним из самых надежных устройств защиты информации среди тех, что используются банками, финансовыми институтами и правительственными ведомствами. Помещенный в прочный корпус и снабженный целой батареей всяческих датчиков, препятствующих вскрытию, криптомодуль 4758 первым из коммерческих устройств в 1998 году получил сертификат соответствия федеральному стандарту США FIPS 140-1 level 4, предъявляющему весьма жесткие требования к физической защите шифраппаратуры.
Изделие IBM приобрело высочайшую репутацию и ныне широко используется многими банками для защиты сетевых финансовых транзакций, для шифрования канала связи с банкоматами и для верификации персональных идентификаторов (PIN), обеспечивающих доступ клиентов к своим счетам. Увы, как продемонстрировали ныне Бонд и Клейтон, идеально защищенный от вскрытия криптопроцессор 4758 можно обмануть, не прибегая к мерам физического воздействия.
Как ни печально, брешью в защите система обязана открытому и общедоступному программному обеспечению, а именно популярному интерфейсу программирования приложений Common Cryptographic Architecture, под которым работает большинство устройств IBM 4758. Благодаря ряду недостатков этого API британские исследователи научились генерировать в устройстве слабый, специфического вида криптоключ для алгоритма 3DES, шифрующий всю информацию, хранящуюся внутри криптопроцессора. Поскольку криптомодуль довольно легко заставить выдать хранимые данные для «экспорта» (в зашифрованном с помощью 3DES виде), Бонд и Клейтон смогли получить к ним доступ. А разработанный ими крэкер позволяет примерно за сутки снять с данных 3DES-защиту, поскольку благодаря специфическому виду ключа его стойкость была предварительно снижена со 112 бит до 56, то есть обычного DES-алгоритма.
Все эти манипуляции теоретически позволяют злонамеренному сотруднику банка, имеющему доступ к консоли криптопроцессора, за двадцать минут извлечь ценное содержимое, восстановить «все как было», а затем примерно через сутки перебора ключей получить доступ к PIN-номерам тысяч клиентов банка и, потенциально, к содержимому их банковских счетов…
Разумеется, сразу же возникает вопрос, а нужно ли публиковать столь взрывоопасную информацию? К сожалению, как показывает опыт, лишь таким образом удается убедить фирмы в необходимости усиления защиты. По словам Бонда и Клэйтона, они еще в прошлом году предупредили IBM о возможности подобного рода атаки на 4758, однако корпорация проигнорировала предупреждение. Более того, свежая редакция руководства к Common Cryptographic Architecture, опубликованная IBM в сентябре, показала, что для исправления указанной слабости в API не сделано ничего. Поэтому английские исследователи сочли необходимым выложить результаты своей работы в Интернет по адресу www.cl.cam.ac.uk/~rnc1/descrack.
[i42117]